什么叫sql注入，如何防止sql注入

Posted 2023-05-13

参考技术A sql注入其实就是在这些不安全控件内输入sql或其他数据库的一些语句，从而达到欺骗服务器执行恶意到吗影响到数据库的数据。防止sql注入，可以在接受不安全空间的内容时过滤掉接受字符串内的“'”，那么他不再是一条sql语句，而是一个类似sql语句的zifuc，执行后也不会对数据库有破坏。
如：下面这一段是找的
username = request("username") //获取用户名 这里是通过URL传值获取的
password = request("password") //获取密码 也是通过URL传值获取的
sql="select * from userlist where username = '" & username & "' and password = '" & password & "'"--------如果某个人知道某个用户名是admin,常常有人网站的管理员用户名就是admin,这是密码可以选用'or 1 or ',
那么sql="select * from userlist where username = 'admin' and password = '' or 1 or ''"，显然1是恒真的，那么验证密码就通过了。补充：
防止的方式比较多，比如可以限制username,password中出现"'"这些字符，一般网站都是只允许数字，字符，下划线的组合，这可以通过javascript验证。也可以采取用存储过程代替sql拼接，等等。

sql注入，xss攻击，csrf(模拟请求)

如何防止别人模拟请求？

使用令牌token解决模拟请求  好处是 唯一性只能有一次请求

如何拿到如何生成token  改如何防止呢？

使用验证码

 

xss攻击？

　　xss攻击也叫脚本注入

为什么会才生xss攻击？

　　提交了<script></script>标签

怎么解决xss攻击

　　將脚本转换成html进行展示